IPFW не отключает

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
3t0n
мл. сержант
Сообщения: 122
Зарегистрирован: 2006-05-06 7:41:04
Откуда: Москва-Владимир
Контактная информация:

IPFW не отключает

Непрочитанное сообщение 3t0n » 2007-01-18 8:40:37

Вообщем сталкнулся с таким нюансом.
Комментирую в конф файле файрвола ип чела ака зарубаю ему инет, перезапускаю конф файл, страницы он грузить уже не может а вот установленные соединения как работали у него так и работают к примеру та же аська и майл агент до перезагрузки его машины или до переподключения, а если взять во внимание что через них можно гонять файло это не есть гуд, и думается мне если качает он к примеру файл то он тоже будет до конца докачиваться. Есть подозрения на ключ -q для удаленной работы с IPFW через ssh который не обрубает в файле с правилами. Есть мысли как эту беду победить?
О человеке можно судить по его Temporary Internet Files

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

baklan
рядовой
Сообщения: 49
Зарегистрирован: 2006-11-30 22:55:54
Откуда: Москва
Контактная информация:

Непрочитанное сообщение baklan » 2007-01-18 9:02:49

Тоже наблюдал подобное у себя, решил писать два правила на каждого юзера , а от established отказался.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-18 11:36:54

Странный у вас фаер.

пропишите всех пользователей в таблицу, и прибивайте всё что не в ней и пытается выйти наружу.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
3t0n
мл. сержант
Сообщения: 122
Зарегистрирован: 2006-05-06 7:41:04
Откуда: Москва-Владимир
Контактная информация:

Непрочитанное сообщение 3t0n » 2007-01-18 11:43:49

dikens3 писал(а):Странный у вас фаер.

пропишите всех пользователей в таблицу, и прибивайте всё что не в ней и пытается выйти наружу.
Гимарой, зачем все усложнять? а если штук 50 нужно обрубить? я думаю есть более рациональное решение. ИМХО
О человеке можно судить по его Temporary Internet Files

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-18 12:30:11

Да хоть 500, убирать лишние правила или добавлять полнейший абсурд.
Пользуйтесь нормальными возможностями.

P.S. Чем больше правил. тем медленне фаер и сложнее в нём что-то понять.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-18 12:41:33

Совсем примитивный

Код: Выделить всё

#!/bin/sh -

ifout="rl0"
iflan="fxp0"

## 3 таблица, кому можно ходить в инет.
fwtable="/sbin/ipfw table"
${fwtable} 3 f

users=" 192.168.100.1 192.168.100.2 и т.д. "

for lan in ${users}
    do
        ${fwtable} 3 add $lan
    done

fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush

# Пускаем lo
        ${fwcmd} add pass all from any to any via lo0
# Пускаем Нашу сеть
        ${fwcmd} add pass all from any to any via ${iflan}

# Пользователи - Исходящий траффик
# Прибиваем незарегистрированных пользователей
        ${fwcmd} add deny log all from not table\(3\) to any out via ${ifout}
..
..
Правила
Правила
Правила
..
..

Код: Выделить всё

Удаление из таблицы:
ipfw table 3 del НУЖНЫЙ_ИП
Добавление в таблицу:
ipfw table 3 add НУЖНЫЙ_ИП
Как вариант для хранения в файле

Код: Выделить всё

# Таблица users
            ipfw table 3 f
            mynets=$(cat /path/users)
            for ip in $mynets
                    do
                    ipfw table 3 add $ip
                    done
Надеюсь этого будет достаточно для понимания?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
3t0n
мл. сержант
Сообщения: 122
Зарегистрирован: 2006-05-06 7:41:04
Откуда: Москва-Владимир
Контактная информация:

Непрочитанное сообщение 3t0n » 2007-01-18 12:57:06

примерно картина прояснилась, ща повникаю в код
О человеке можно судить по его Temporary Internet Files

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-18 13:19:40

3t0n писал(а):примерно картина прояснилась, ща повникаю в код
Если правило divert стоит первой строкой, то запретить отправку уже сложнее.

Код: Выделить всё

Пример в сторону которого нужно думать.
# Запрешаем исходящие пакеты принятые на интерфейсе iflan, обработанные файрволом, и выходящие с интерфейса ifout
        ${fwcmd} add deny log all from not table\(3\) to any out recv ${iflan} xmit ${ifout}
Перемудрил, Divert тут не причём, но очень полезная строка, особенно если она будет первой в списке на выход с внешнего интерфейса.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Kolesnikov
рядовой
Сообщения: 42
Зарегистрирован: 2007-01-09 14:49:39
Откуда: г.Тайга

Непрочитанное сообщение Kolesnikov » 2007-01-24 10:59:03

3t0n писал(а):Гимарой, зачем все усложнять? а если штук 50 нужно обрубить? я думаю есть более рациональное решение. ИМХО
Можно использовать сеты. При добавлении правила для каждого пользователя добавляешь параметр set 10(к примеру). Потом одной командой ipfw delete set 10 удаляешь всех, при этом основные правила фаера не задеты.